【文章內(nèi)容簡介】 制與安全的工作經(jīng)驗(yàn)要求 ①滿 1年的非信息系統(tǒng)審計(jì)工作經(jīng)驗(yàn)，或 ②滿 1年的信息系統(tǒng)工作經(jīng)驗(yàn)，或 ③具有大專學(xué)歷（大學(xué) 60個(gè)學(xué)分或同等學(xué)歷）。 ④擁有學(xué)士學(xué)位（大學(xué) 120個(gè)學(xué)分或同等學(xué)歷）者，可以替代 2年信息系統(tǒng)審計(jì)、控制與安全工作經(jīng)驗(yàn)。 ⑤ 2年相關(guān)領(lǐng)域（計(jì)算機(jī)科學(xué)、會計(jì)、信息系統(tǒng)審計(jì)等）大學(xué)專職講師經(jīng)驗(yàn)可以替代 1年信息系統(tǒng)審計(jì)、控制與安全工作經(jīng)驗(yàn)。無最高可替代年限限制（ 6年大學(xué)講師經(jīng)驗(yàn)可以替代 3 年信息系統(tǒng)審計(jì)、控制與安全工作的經(jīng)驗(yàn)）。 COBIT在信息系統(tǒng)運(yùn)維服務(wù)管理中的應(yīng)用 COBIT應(yīng)用于 IT運(yùn)維服務(wù)管理的步驟： 按照 COBIT運(yùn)維域標(biāo)準(zhǔn) ， 進(jìn)行信息系統(tǒng)運(yùn)維服務(wù)流程的梳理 ，并在運(yùn)維任務(wù) 、 制度和各種操作流程等方面進(jìn)行規(guī)范 ， 定義關(guān)鍵業(yè)務(wù)系統(tǒng)的相應(yīng)服務(wù)級別 ， 實(shí)施服務(wù)臺管理 、 配置管理 、 問題管理 、變更管理等 ， 明確各流程之間的相互關(guān)系和人員配置 ， 形成了一個(gè)完整 、 統(tǒng)一 、 相互協(xié)調(diào)的管理控制網(wǎng)絡(luò) 。 COBIT應(yīng)用于 IT運(yùn)維服務(wù)管理的作用： （ 1）變被動(dòng)為主動(dòng)的管理模式 （ 2）能提高用戶滿意度 （ 3）變“人治”為“法治” （ 4）建立起高效的信息系統(tǒng)運(yùn)維機(jī)制 （ 5）能提高科學(xué)管理的決策能力 BS7799信息安全管理標(biāo)準(zhǔn) BS7799 是英國標(biāo)準(zhǔn)協(xié)會（ BSI）針對信息安全管理而制定的一個(gè)標(biāo)準(zhǔn)，最早始于 1995年，后來被轉(zhuǎn)化為國際標(biāo)準(zhǔn)。 （ 1） BS7799－ 1轉(zhuǎn)化為 ISO/IEC 17799標(biāo)準(zhǔn) 《 信息安全管理實(shí)施細(xì)則 》 ，主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使用，其中分 11個(gè)標(biāo)題，定義了 133 項(xiàng)安全控制（最佳慣例）。 （ 2） BS7799－ 2轉(zhuǎn)化為 ISO/IEC 2700標(biāo)準(zhǔn) 《 信息安全管理體系規(guī)范 》 ，是建立信息安全管理體系（ ISMS）的一套規(guī)范，詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求。 信息安全管理體系及 ISO27001 信息安全管理體系（ ISMS）是組織整體管理體系的一個(gè)部分，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。 ISO27001 是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)，它要求應(yīng)該通過這樣的過程來建立 ISMS 框架：確定體系范圍，制定信息安全策略，明確管理職責(zé)，通過風(fēng)險(xiǎn)評估確定控制目標(biāo)和控制方式。 ISO27001認(rèn)證 實(shí)施 ISO27001認(rèn)證有兩種途徑： （ 1）自己做認(rèn)證 在組織內(nèi)部成立專人專項(xiàng)工作組，按照計(jì)劃自我實(shí)施。 （ 2）聘請咨詢機(jī)構(gòu)做認(rèn)證 選擇有實(shí)力的咨詢機(jī)構(gòu)，幫助組織完成 ISO27001認(rèn)證 ISO/IEC 17799標(biāo)準(zhǔn)的主要內(nèi)容 ISO/IEC 17799:2023《 信息安全管理實(shí)施細(xì)則 》 從 11個(gè)方面定義了 133項(xiàng)控制措施，可供信息安全管理體系實(shí)施者參考使用。 （ 1）安全策略 控制措施 2個(gè)，控制目標(biāo) 1個(gè) （ 2）組織信息安全 控制措施 1 1個(gè)，控制目標(biāo) 2個(gè) （ 3）資產(chǎn)管理 控制措施 5個(gè)，控制目標(biāo) 2個(gè) （ 4）人力資源安全 控制措施 9個(gè)，控制目標(biāo) 3個(gè) （ 5）物理和環(huán)境安全 控制措施 13個(gè)，控制目標(biāo) 2個(gè) （ 6）通信和操作管理 控制措施 32個(gè)，控制目標(biāo) 10個(gè) （ 7）訪問控制 控制措施 25個(gè)，控制目標(biāo) 7個(gè) （ 8）信息系統(tǒng)獲取、開發(fā)和維護(hù) 控制措施 16個(gè)，控制目標(biāo) 6個(gè) （ 9）信息安全事件管理 控制措施 5個(gè)，控制目標(biāo) 2個(gè) （ 10）業(yè)務(wù)連續(xù)性管理 控制措施 5個(gè)，控制目標(biāo) 1個(gè) （ 11）符合性 控制措施 1 0個(gè)，控制目標(biāo) 3個(gè) ISO/IEC 17799標(biāo)準(zhǔn)的 10項(xiàng)最佳措施 （ 1）與法律相關(guān)的控制措施： ①知識產(chǎn)權(quán)：遵守知識產(chǎn)權(quán)保護(hù)和軟件產(chǎn)品保護(hù)的法律。 ②保護(hù)組織的記錄：保護(hù)重要的記錄不丟失、破壞和偽造。 ③數(shù)據(jù)保護(hù)和個(gè)人信息隱私：遵守所在國的數(shù)據(jù)保護(hù)法律。 （ 2）與最佳實(shí)踐相關(guān)的控制措施： ①信息安全策略文件：高管批準(zhǔn)發(fā)布信息安全策略文件。 ②信息安全責(zé)任的分配：清晰地定義所有的信息安全責(zé)任。 ③信息安全意識、教育和培訓(xùn)：全體員工應(yīng)該接受恰當(dāng)?shù)囊庾R培訓(xùn)。 ④正確處理應(yīng)用程序：防止應(yīng)用程序中信息出錯(cuò)、損壞或篡改及誤用。 ⑤漏洞管理：防止利用已發(fā)布的漏洞信息來實(shí)施破壞。 ⑥管理信息安全事件和改進(jìn)：確保采取有效方法來管理信息安全事件。 ⑦業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事件或?yàn)?zāi)難影響。 ISO/IEC 27001:2023標(biāo)準(zhǔn)的主要內(nèi)容 利用 PDCA循環(huán)方法建立開發(fā)、實(shí)施、維護(hù)并持續(xù)改進(jìn)一個(gè)文檔化的 ISMS。 （ 1）建立 ISMS（ Plan） （ 2）實(shí)施和操作 ISMS（ Do） （ 3）監(jiān)視和復(fù)查 ISMS（ Check） （ 4）維護(hù)并改進(jìn) ISMS（ Act） （ 5）信息安全管理體系 （ 6）管理層責(zé)任 （ 7） ISMS管理評審 （ 8） ISMS持續(xù)改進(jìn) ISO/IEC 27001:2023標(biāo)準(zhǔn)的主要重點(diǎn) （ 1） ISO 27001:2023標(biāo)準(zhǔn)指出 ISMS應(yīng)該包含的主要內(nèi)容有：用于組織信息資產(chǎn)風(fēng)險(xiǎn)管理、確保組織信息安全的及包括為制定、實(shí)施、評審和維護(hù)信息安全策略所需的組織機(jī)構(gòu)、目標(biāo)、職責(zé)、程序、過程和資源。 （ 2） ISO 27001:2023標(biāo)準(zhǔn)要求建立 ISMS框架的過程包括制定信息安全策略，確定體系范圍，明確管理職責(zé)，通過風(fēng)險(xiǎn)評估確定控制目標(biāo)和控制方式。 （ 3） ISO 27001:2023非常強(qiáng)調(diào)信息安全管理過程中文件化的工作， ISMS 的文件體系應(yīng)該包括安全策略、適用性聲明文件、實(shí)施安全控制所需的程序文件、 ISMS管理和操作程序，以及組織圍繞 ISMS開展的所有活動(dòng)的證明材料。 ISO/IEC 27001:2023新版本的改進(jìn) （ 1）舊版本以資產(chǎn)與技術(shù)為主體，新版本以組織業(yè)務(wù)為主體 （ 2）新版本將舊版本的 4章，對 ISMS建立的基礎(chǔ)進(jìn)行了調(diào)整和明確；新版本增加了許多指引供企業(yè)參考，組織可以通過不同的方面以及風(fēng)險(xiǎn)進(jìn)行深度的強(qiáng)化。 （ 3）舊版本原有 11個(gè)領(lǐng)域、 133項(xiàng)控制措施，新版本目前調(diào)整為14個(gè)領(lǐng)域、 113個(gè)控制措施。新增的領(lǐng)域或是將原分散在各領(lǐng)域中的部分控制目標(biāo)級別提升，組成新領(lǐng)域，如加密與供應(yīng)鏈管理因其重要性而被獨(dú)立出來成為新領(lǐng)域；或是將原有領(lǐng)域分拆，如將通訊與作業(yè)管理分開成兩個(gè)獨(dú)立的領(lǐng)域，以反映目前信息安全的發(fā)展趨勢。而控制措施減少則是通過合并重復(fù)的項(xiàng)目來進(jìn)行，像變更管理在不同的領(lǐng)域中有重復(fù)就予以合并。也有新增的控制項(xiàng)目，比如對智能型裝置的管理，以及系統(tǒng)開發(fā)項(xiàng)目管理的信息安全要求等。 SO/IEC 38500的來歷及其主要內(nèi)容 ISO/IEC 38500:2023標(biāo)準(zhǔn) 《 信息技術(shù)治理 》 是第一部信息技術(shù)治理國際標(biāo)準(zhǔn)，于 2023年 4月正式發(fā)布。它為人們提供了廣泛指導(dǎo)方針和在組織中進(jìn)行信息技術(shù)監(jiān)督的實(shí)施框架，其目的是使信息技術(shù)治理成為公司治理